Il-protezzjoni tad-data skont il-GDPR
Il-GDPR jistabbilixxi rekwiżiti dettaljati għall-kumpaniji u l-organizzazzjonijiet dwar il-ġbir, il-ħażna u l-immaniġġjar tad-data personali. Dan japplika kemm għall-organizzazzjonijiet Ewropej li jipproċessaw id-data personali tal-individwi fl-UE kif ukoll għall-organizzazzjonijiet barra l-UE li għandhom fil-mira tagħhom lin-nies li jgħixu fl-UE.
Meta japplika r-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR)?
Il-GDPR japplika jekk:
- il-kumpanija tiegħek tipproċessa data personali u hi bbażata fl-UE, irrispettivament minn fejn isir l-ipproċessar tad-data fir-realtà
- il-kumpanija tiegħek hi stabbilita barra l-UE iżda tipproċessa data personali fir-rigward tal-offerta ta' oġġetti jew servizzi lil individwi fl-UE, jew timmonitorja l-imġiba ta' individwi fl-UE.
In-negozji li mhumiex ibbażati fl-UE li jipproċessaw id-data taċ-ċittadini tal-UE jridu jinnominaw rappreżentant fl-UE.
Meta ma japplikax ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR)?
Il-GDPR ma japplikax jekk:
- is-suġġett tad-data hu mejjet
- is-suġġett tad-data hu persuna legali
- l-ipproċessar isir minn persuna li qed taġixxi għal finijiet li huma barra l-kummerċ, in-negozju, jew il-professjoni tagħha
X'inhi d-data personali?
Id-data personali hi kwalunkwe informazzjoni dwar persuna identifikata jew identifikabbli, magħrufa wkoll bħala s-suġġett tad-data. Id-data personali tinkludi informazzjoni bħal:
- l-isem
- l-indirizz
- in-numru tal-karta tal-ID/passaport
- l-introjtu
- il-profil kulturali
- l-indirizz tal-Protokoll tal-Internet (IP)
- id-data miżmuma minn sptar jew tabib (li tidentifika persuna b'mod uniku għal raġunijiet ta' saħħa)
Kategoriji speċjali ta' data
Ma tistax tipproċessa data personali dwar:
- l-oriġini razzjali jew etnika
- l-orjentazzjoni sesswali
- l-opinjonijiet politiċi
- it-twemmin reliġjuż jew filosofiku
- is-sħubija ma' tradeunion
- data ġenetika, bijometrika jew dwar is-saħħa ħlief f'każijiet speċifiċi (eż. meta tkun ingħatajt kunsens speċifiku jew meta l-ipproċessar hu meħtieġ għal raġunijiet ta' interess pubbliku sostanzjali, abbażi tal-liġi tal-UE jew dik nazzjonali)
- data personali relatata ma' kundanni jew offiżi kriminali sakemm dan ma jkunx awtorizzat mil-liġi tal-UE jew dik nazzjonali
Min jipproċessa d-data personali?
Matul l-ipproċessar, id-data personali tista' tgħaddi minn diversi kumpaniji jew organizzazzjonijiet differenti. Fi ħdan dan iċ-ċiklu hemm żewġ profili prinċipali li jittrattaw l-ipproċessar tad-data personali:
- Il-kontrollur tad-data- jiddeċiedi l-għan u l-mod li bih se tiġi pproċessata d-data personali.
- Il-proċessur tad-data- iżomm u jipproċessa d-data f'isem il-kontrollur tad-data.
Min jissorvelja kif tiġi pproċessata d-data personali ġo kumpanija?
L-Uffiċjal tal-Protezzjoni tad-Data (UPD), li seta' ġie nnominat mill-kumpanija, hu responsabbli għas-sorveljanza ta' kif tiġi pproċessata d-data personali u biex jinforma u jagħti pariri lill-impjegati li jipproċessaw id-data personali dwar l-obbligi tagħhom. L-UPD jikkoopera wkoll mal-Awtorità għall-Protezzjoni tad-Data (DPA), u jservi ta' punt ta' kuntatt lejn id-DPA u l-individwi.
Meta għandek tinnomina Uffiċjal tal-Protezzjoni tad-Data?
Il-kumpanija tiegħek għandha l-obbligu li tinnomina UPD meta:
- inti regolarment jew sistematikament tissorvelja individwi jew tipproċessa kategoriji speċjali ta' data
- dan l-ipproċessar hu attività ewlenija tan-negozju
- inti tipproċessa data fuq skala kbira.
Pereżempju, jekk tipproċessa data personali biex timmira r-reklamar permezz tal-magni tat-tiftix abbażi tal-imġiba online tan-nies, jeħtieġ li jkollok UPD. Jekk, madankollu, int tibgħat materjal promozzjonali lill-klijenti tiegħek darba fis-sena biss, m'għandekx bżonn UPD. Bl-istess mod, jekk int tabib li tiġbor data dwar is-saħħa tal-pazjenti, probabbilment m'hemmx bżonn ta' UPD. Iżda jekk tipproċessa d-data personali dwar il-ġenetika u s-saħħa għal sptar, jeħtieġ li jkollok UPD.
L-UPD jista' jkun membru tal-persunal tal-organizzazzjoni tiegħek jew jista' jkun b'kuntratt b'mod estern abbażi ta' kuntratt ta' servizz. UPD jista' jkun individwu jew parti minn organizzazzjoni.
L-ipproċessar tad-data għal kumpanija oħra
Kontrollur tad-data jista' juża biss proċessur tad-data li joffri garanziji biżżejjed, li għandhom ikunu inklużi f'kuntratt miktub bejn il-partijiet involuti. Il-kuntratt irid ikun fih ukoll għadd ta' klawsoli obbligatorji, eż. li l-proċessur tad-data se jipproċessa biss id-data personali meta jingħata istruzzjonijiet biex jagħmel dan mill-kontrollur tad-data.
It-trasferiment ta' data barra l-UE
Meta d-data personali tiġi ttrasferita barra l-UE, il-protezzjoni mogħtija mill-GDPR trid tivvjaġġa mad-data. Dan ifisser li jekk inti tesporta d-data barra l-pajjiż, il-kumpanija tiegħek trid tiżgura li waħda minn dawn il-miżuri tiġi rispettata:
- Il-miżuri ta' protezzjoni tal-pajjiż li mhux membru tal-UE huma meqjusa adegwati mill-UE.
- Il-kumpanija tiegħek tieħu l-miżuri meħtieġa biex tipprovdi salvagwardji xierqa, bħall-inklużjoni ta' klawsoli speċifiċi fil-kuntratt maqbul mal-importatur li mhuwiex Ewropew tad-data personali.
- Il-kumpanija tiegħek isserraħ fuq bażijiet speċifiċi għat-trasferiment (derogi) bħall-kunsens tal-individwu.
Meta hu permess l-ipproċessar tad-data?
Ir-regoli tal-protezzjoni tad-data tal-UE jfissru li int għandek tipproċessa d-data b'mod ġust u skont il-liġi, għal fini speċifikat u leġittimu u tipproċessa biss dik id-data li hi meħtieġa biex jintlaħaq dak il-fini. Trid tiżgura li tissodisfa waħda minn dawn il-kundizzjonijiet biex tipproċessa d-data personali; inti:
- ingħatajt il- kunsens tal-individwu kkonċernat
- għandek bżonn tad-data personali biex tissodisfa obbligu kuntrattwali mal-individwu
- għandek bżonn tad-data personali biex tissodisfa obbligu legali
- għandek bżonn tad-data personali biex tipproteġi l-interessi vitali tal-individwu
- tipproċessa d-data personali biex twettaq il-kompitu fl-interess pubbliku
- qed taġixxi fl-interessi leġittimi tal-kumpanija tiegħek, sakemm ma jkunx hemm impatt serju fuq id-drittijiet fundamentali u l-libertajiet tal-individwu li qed tipproċessa d-data tiegħu. Jekk id-drittijiet tal-persuna huma aktar importanti mill-interessi tal-kumpanija tiegħek, ma tistax tipproċessa d-data personali.
Il-qbil mal-ipproċessar tad-data – il-kunsens
Il-GDPR japplika regoli stretti għall-ipproċessar tad-data abbażi tal-kunsens. L-għan ta' dawn ir-regoli hu li jiżguraw li l-individwu jifhem dak li jkun qed jagħti l-kunsens għalih. Dan ifisser li l-kunsens irid jingħata liberament, irid ikun speċifiku, infurmat u bla ambigwità permezz ta' talba ppreżentata b'lingwa ċara u mhux ikkumplikata. Il-kunsens irid jingħata permezz ta' att pożittiv, bħall-immarkar ta' kaxxa online jew l-iffirmar ta' formola.
Meta xi ħadd jagħti l-kunsens għall-ipproċessar tad-data personali, tista' biss tipproċessa d-data għall-finijiet li għalih ingħata l-kunsens. Trid tagħtih ukoll l-opportunità li jirtira l-kunsens tiegħu.
L-għoti ta' informazzjoni trasparenti
Lill-individwi trid tagħtihom informazzjoni b'mod ċar dwar min qed jipproċessa d-data personali dwarhom u għaliex. Dan li ġej għandu jkun inkluż bħala minimu:
- min int
- għaliex qed tipproċessa d-data personali
- x'inhi l-bażi legali
- min se jirċievi d-data (jekk applikabbli)
F'xi każijiet, l-informazzjoni li tagħti trid tiddikjara wkoll:
- l-informazzjoni ta' kuntatt tal-Uffiċjal tal-protezzjoni tad-data (UPD), fejn applikabbli
- x'inhu l-interess leġittimu li qed tfittex il-kumpanija meta tkun qed tuża din il-bażi legali għall-ipproċessar
- il-miżuri applikati għat-trasferiment tad-data għal pajjiż barra l-UE
- għal kemm tul ta' żmien se tinħażen id-data
- id-drittijiet tal-protezzjoni tad-data tal-individwu (jiġifieri d-dritt tal-aċċess, il-korrezzjoni, it-tħassir, ir-restrizzjoni, l-oġġezzjoni, il-portabbiltà, eċċ.)
- kif jista' jiġi rtirat il-kunsens (meta l-kunsens hu l-bażi legali għall-ipproċessar)
- jekk hemmx obbligu statutarju jew kuntrattwali biex tingħata d-data
- fil-każ ta' teħid ta' deċiżjonijiet awtomatizzat, informazzjoni dwar il-loġika, is-sinjifikat u l-konsegwenzi tad-deċiżjoni
Għandek tippreżenta din il-informazzjoni b'lingwa ċara u mhux ikkumplikata.
Regoli speċifiċi għat-tfal
Jekk qed tiġbor data personali mingħand minuri fuq il-bażi tal-kunsens, pereżempju għall-użu ta' kont tal-midja soċjali jew għal kont tal-iddawnlowdjar, l-ewwel trid iġġib il-kunsens tal-ġenituri, eż. billi tibgħat notifika lil ġenitur jew kustodju. L-età sa meta persuna titqies bħala minuri tiddependi fuq fejn tgħix, iżda hi bejn 13 u 16-il sena.
Id-dritt tal-aċċess u d-dritt għall-portabilità tad-data
Inti trid tiżgura li l-individwi għandhom id- dritt tal-aċċess għad-data personali tagħhom, bla ħlas. Jekk tirċievi talba bħal din trid:
- tgħidilhom jekk qed tipproċessa d-data personali tagħhom.
- tgħidilhom dwar l-ipproċessar (l-għan tal-ipproċessar, il-kategoriji tad-data personali kkonċernata, ir-riċevituri tad-data tagħhom, eċċ.)
- tagħtihom kopja tad-data personali li qed tiġi pproċessata (f'format aċċessibbli)
Meta l-ipproċessar hu bbażat fuq il-kunsens jew kuntratt, l-individwu jista' jitolbok tagħtih lura d-data personali jew tittrasmettiha lil kumpanija oħra. Dan hu magħruf bħala l-portabilità tad-data. Għandek tagħti d-data f'format użat b'mod komuni u li jinqara mill-magni.
Id-dritt li tikkoreġi u d-dritt li toġġezzjona
Jekk individwu jemmen li d-data personali tiegħu mhijiex korretta, kompluta jew preċiża, hu għandu d-dritt li jikkoreġiha jew jikkompletaha mingħajr dewmien żejjed.
Jekk dan hu l-każ, hu mistenni li inti tinnotifika lir-riċevituri tad-data kollha jekk xi parti mid-data personali li xxerjajt magħhom inbidlet jew tħassret. Jekk xi parti mid-data personali li xxerjajt ma kinitx korreta, hemm mnejn ikollok tinforma lil kull min raha li dan kien il-każ (sakemm dan ma jitqisx bħala sforz sproporzjonat).
Individwu jista' wkoll joġġezzjona - fi kwalunkwe ħin - għall-ipproċessar tad-data personali tiegħu għal użu partikolari meta l-kumpanija tiegħek tipproċessaha fuq il-bażi tal-interess leġittimu tiegħek, jew għal kompitu fl-interess pubbliku. Sakemm ma jkollokx interess leġittimu li jitqies iktar importanti mill-interess tal-individwu, trid tieqaf tipproċessa d-data personali.
Bl-istess mod, individwu jista' jitlob biex l-ipproċessar tad-data personali tiegħu jkun ristrett sakemm jiġi determinat jekk l-interess leġittimu tiegħek hux iktar importanti mill-interess tiegħu. Madankollu, fil-każ tal-kummerċjalizzazzjoni diretta, int dejjem obbligat tieqaf tipproċessa d-data personali jekk tintalab mill-individwu.
Id-dritt għat-tħassir ("dritt li wieħed jintesa")
F'xi ċirkustanzi individwu jista' jitlob lill-kontrollur tad-data biex iħassar id-data personali tiegħu, pereżempju jekk id-data ma tkunx għada meħtieġa biex jiġi ssodisfat il-fini tal-ipproċessar. Madankollu, il-kumpanija tiegħek mhijiex obbligata tagħmel dan jekk:
- l-ipproċessar hu meħtieġ biex tiġi rispettata l-libertà tal-espressjoni u tal-informazzjoni
- trid iżżomm id-data personali biex tikkonforma ma' obbligu legali
- hemm raġunijiet oħra ta' interess pubbliku biex tinħażen id-data personali, bħal finijiet tas-saħħa pubblika jew xjentifiċi u ta' riċerka storika
- għandek bżonn iżżomm id-data personali biex tistabbilixxi klejm legali
It-teħid ta' deċiżjonijiet u t-tfassil ta' profil awtomatizzati
L-individwi għandhom id-dritt li ma jkunux suġġetti għal deċiżjoni li hi bbażata totalment fuq l-ipproċessar awtomatizzat. Madankollu, hemm xi eċċezzjonijiet għal din ir-regola, bħal meta jkunu taw il-kunsens espliċitu tagħhom għad-deċiżjoni awtomatizzata. Bl-eċċezzjoni ta' meta d-deċiżjoni awtomatizzata hi bbażata fuq liġi, il-kumpanija tiegħek trid:
- tinforma lill-individwu dwar it-teħid tad-deċiżjoni awtomatizzata
- tagħti lill-individwu d-dritt li dik id-deċiżjoni awtomatizzata tiġi riveduta minn persuna
- tagħti lill-individwu l-opportunità li jikkontesta d-deċiżjoni awtomatizzata
Pereżempju, jekk bank jawtomatizza d-deċiżjoni tiegħu dwar jekk jagħtix jew le self lil ċertu individwu, dak l-individwu għandu jkun infurmat bid-deċiżjoni awtomatizzata u għandu jingħata l-opportunità jikkontesta d-deċiżjoni u jitlob l-intervent uman.
Il-ksur tad-data – l-għoti ta' notifika xierqa
Ksur tad-data iseħħ meta d-data personali li int responsabbli għaliha tiġi żvelata, jew b'mod aċċidentali jew illegali, lil riċevituri mhux awtorizzati jew ma tkunx disponibbli b'mod temporanju jew tiġi mibdula.
Jekk iseħħ ksur tad-data u l-ksur ikun ta' riskju għad-drittijiet u l-libertajiet individwali, għandek tinnotifika lill-Awtorità għall-Protezzjoni tad-Data fi żmien 72 siegħa wara li tinduna bil-ksur.
Il-kumpanija tiegħek tista' tkun mitluba tinforma lill-individwi kollha affetwati. Dan jiddependi minn jekk il-ksur tad-data jirriżultax f'riskju għoli għal dawk affetwati.
Ir-risposti għar-rikjesti
Jekk il-kumpanija tiegħek tirċievi rikjesta mingħand individwu li jixtieq jeżerċita d-drittijiet tiegħu, int għandek tirrispondi għal din ir-rikjesta mingħajr dewmien żejjed u f'kull każ fi żmien xahar minn meta tirċievi r-rikjesta. Dan iż-żmien għal risposta jista' jiġi estiż għal xahrejn għal rikjesti kumplessi u multipli, sakemm l-individwu jiġi infurmat dwar l-estensjoni. Ir-rikjesti għandhom jiġu ttrattati bla ħlas.
Jekk rikjesta tiġi miċħuda, trid tinforma lill-individwu bir-raġunijiet għaliex sar dan u bid-dritt tiegħu li jressaq ilment mal-Awtorità għall-Protezzjoni tad-Data.
Il-valutazzjonijiet tal-impatt
It-twettiq ta' Valutazzjoni tal-Impatt fuq il-Protezzjoni tad-Data (DPIA) hu obbligatorju kull meta l-ipproċessar maħsub ikun se jirriżulta f'riskju għoli għad-drittijiet u l-libertajiet tal-individwi, eż. meta jintużaw teknoloġiji ġodda.
Hemm riskju għoli bħal dan meta:
- jintużaw mekkaniżmi awtomatizzati għall-ipproċessar u t-tfassil tal-profil biex jiġu evalwati l-individwi
- żona aċċessibbli pubblikament hija sorveljata fuq skala kbira (eż. CCTV)
- kategoriji speċjali tad-data jew tad-data personali relatati ma' kundanni u offiżi kriminali huma pproċessati fuq skala kbira (eż. data dwar is-saħħa)
Nota: l-Awtoritajiet għall-Protezzjoni tad-Data jistgħu wkoll jikkunsidraw kategoriji oħrajn tal-ipproċessar tad-data bħala riskju għoli.
Jekk il-miżuri indikati fil-DPIA ma jwasslux biex ineħħu r-riskji għoljin kollha identifikati, l-Awtorità għall-Protezzjoni tad-Data trid tiġi kkonsultata qabel ma jsir l-ipproċessar tad-data maħsub.
Iż-żamma ta' rekord
Trid tkun tista' tagħti prova li l-kumpanija tiegħek taġixxi skont il-GDPR u tissodisfa l-obbligi kollha applikabbli — b'mod partikolari fuq rikjesta jew spezzjoni mill-Awtorità għall-Protezzjoni tad-Data.
Mod kif tagħmel dan hu billi żomm rekords dettaljati ta' affarijiet bħal:
- l-isem u d-dettalji ta' kuntatt tan-negozju tiegħek involut fl-ipproċessar tad-data
- ir-raġuni(jiet) għall-ipproċessar tad-data personali
- id-deskrizzjoni tal-kategoriji tal-individwi li qed jagħtu d-data personali
- il-kategoriji tal-organizzazzjonijiet li qed jirċievu d-data personali
- it-trasferiment ta' data personali lil pajjiż jew organizzazzjoni oħra
- il-perjodu tal-ħażna tad-data personali
- id-deskrizzjoni tal-miżuri ta' sigurtà użati waqt l-ipproċessar tad-data personali
Il-kumpanija tiegħek għandha żżomm ukoll — u taġġorna b'mod regolari — il-proċeduri bil-miktub u l-linji gwida u tara li l-impjegati tiegħek jafu bihom.
Twissija
Jekk il-kumpanija tiegħek hija SME en jew iżgħar m'hemmx il-bżonn li żżomm rekords tal-attivitajiet tal-ipproċessar tiegħek sakemm huma:
- ma jkunux qed isiru regolarment
- ma jaffettwawx id-drittijiet u l-libertajiet tal-individwi involuti
- ma jittrattawx data sensittiva jew rekords kriminali
Il-protezzjoni tad-data maħsuba u l-issettjar awtomatiku
Il-protezzjoni tad-data maħsuba tfisser li l-kumpanija tiegħek għandha tqis il-protezzjoni tad-data fl-istadji bikrija tal-ippjanar ta' mod ġdid għall-ipproċessar tad-data personali. Skont dan il-prinċipju, kontrollur tad-data jrid jieħu l-passi tekniċi u organizzazzjonali kollha meħtieġa biex jimplimenta l-prinċipji tal-protezzjoni tad-data u jipproteġi d-drittijiet tal-individwi. Dawn il-passi jistgħu jinkludu, pereżempju, l-użu ta' psewdonimizzazzjoni.
Il-protezzjoni tad-data b'issettjar awtomatiku tfisser li l-kumpanija tiegħek għandu dejjem ikollha l-issettjar l-aktar privat possibbli bħala ssettjar awtomatiku. Pereżempju, jekk huma possibbli żewġ tipi ta' ssettjar ta' privatezza u waħda mill-issettjar ma tippermettix l-aċċess minn oħrajn għad-data personali, din għandha tintuża bħala l-issettjar awtomatiku.
Il-ksur tar-regoli u l-penali
In-nuqqas ta' konformità mal-GDPR jista' jirriżulta f'multi sinifikanti li jistgħu jkunu sa EUR 20 miljun jew 4% tal-fatturat globali tal-kumpanija tiegħek għal ċerti tipi ta' ksur. L-Awtorità għall-Protezzjoni tad-Data tista' timponi miżuri korrettivi addizzjonali, bħal li tordnalek tieqaf tipproċessa d-data personali.